CrowdStrike segnala un'impennata del 136% delle intrusioni nel cloud e delle minacce abilitate dall'AI

L'ultimo rapporto di CrowdStrike 2025 Threat Hunting dipinge un quadro crudo di un panorama di minacce che continua a intensificarsi su più fronti. Tra gennaio 2025 e giugno 2025, il team OverWatch dell'azienda ha registrato un aumento del 136% delle intrusioni focalizzate sul cloud rispetto all'intero 2024, dimostrando quanto rapidamente gli avversari stiano padroneggiando le tecniche per sfruttare i carichi di lavoro, i servizi e gli asset del piano di controllo negli ambienti cloud pubblici e ibridi.

Anche le intrusioni interattive con tastiera stanno diventando più comuni e più sofisticate. CrowdStrike ha osservato un aumento del 27% rispetto all'anno precedente di queste intrusioni; il 73% era collegato ad attori di e-crime con motivazioni finanziarie, evidenziando l'attrattiva commerciale degli ecosistemi di ransomware-as-a-service e dei mercati di access-broker.

Il phishing vocale (vishing) è emerso come una delle tattiche di e-crime in più rapida crescita. Gli attacchi sono balzati del 442 percento dalla prima alla seconda metà del 2024 e hanno già superato i totali dello scorso anno nei primi sei mesi del 2025. Gruppi come SCATTERED SPIDER continuano a combinare l'esperienza di social-engineering con credenziali rubate per passare dall'acquisizione iniziale dell'account alla distribuzione di ransomware in appena 24 ore, il 32 percento più velocemente rispetto al 2024.

Lo spionaggio a livello nazionale rimane una preoccupazione. Gli operatori cinesi hanno guidato un aumento del 130 percento dell'attività degli Stati-nazione contro gli obiettivi delle telecomunicazioni, mentre gli avversari legati alla Russia hanno rappresentato la maggior parte dell'aumento del 185 percento delle intrusioni nel settore governativo. Gli analisti di CrowdStrike notano che le manovre cross-domain, passando rapidamente dall'identità all'endpoint al cloud, aiutano gli attori sofisticati come BLOCKADE SPIDER e OPERATOR PANDA a rimanere nascosti fino alla fine del ciclo di vita dell'attacco.

L'AI generativa è ora un acceleratore fondamentale per diverse campagne. Il rapporto individua FAMOUS CHOLLIMA, allineato alla DPRK, che si è infiltrato in oltre 320 aziende nel periodo (con un aumento stimato del 220 percento rispetto all'anno precedente), utilizzando servizi di modelli linguistici di grandi dimensioni per fabbricare curriculum vitae, identità false e persino risposte ai colloqui in tempo reale. Una volta assunti, gli impostori si affidano ad assistenti di codifica AI e a strumenti di traduzione per destreggiarsi tra diversi lavori di sviluppatore remoto simultaneamente, il tutto mentre esfiltra la proprietà intellettuale.

CrowdStrike raccomanda di migliorare le procedure di verifica dell'identità durante il reclutamento, di effettuare controlli deepfake in tempo reale durante i colloqui, di monitorare in modo più rigoroso l'attività di accesso remoto e di effettuare una ricerca continua tra identità, endpoint e telemetria del cloud. Sebbene i difensori si stiano rivolgendo sempre più a pipeline di machine-learning proprie, il fornitore avverte che i modelli di AI devono essere addestrati su dati curati e affidabili per evitare l'avvelenamento e altri tentativi di manipolazione.